Cloudsourcing. Riskmanagement in a cloudy jacket. ISC 2 Chapter Netherlands! Willem Tibosch! BlinkLane Consulting!! 25 april 2013!

Transcriptie

1 ISC 2 Chapter Netherlands! Cloudsourcing Riskmanagement in a cloudy jacket Willem Tibosch! BlinkLane Consulting!! 25 april 2013!

2 2 Wie ben ik? Willem Tibosch Ervaring Senior Consultant bij BlinkLane Consulting IT auditor PwC Vakgebieden IT Risicomanagement IT Outsourcing Interesses Organisatiefilosofie

3 3 Introductie Sinds introductie in 2005 sterke toename in online betalingen En een toenemende afhankelijkheid van online betalingen Echter sinds kort ook een toename in cyberaanvallen banken, waardoor online betalingen niet beschikbaar zijn Ieder uur dat Ideal niet werkt kost miljoenen Echter: Banken hebben adequate beveiligingsmaatregelen Of toch niet? Wat betekent dit voor de sourcingstrategie (en risicomanagement) van een gemiddelde webshop?

4 4 Agenda 1. Sourcing management bij online betalingsverkeer Sourcing management in 7 vragen Sourcing betaalverkeer 2. Risicomanagement bij online (cloud) diensten Aandachtspunten risicomanagement Governance mechanismes 3. Wat moet er dan anders en wie moet dat doen? Overheid & bedrijfsleven als gremia Service Providers Webshops (of eigenlijk afnemers van diensten) 4. Discussie en afsluiting

5 5 Sourcing management bij online betalingsverkeer

6 6 Sourcing management in 7 korte vragen 1. Wat zijn de Sourcingdoelstellingen? 2. En met welke randvoorwaarden? 3. Wat is de sourcingscope en het voorkeursscenario? 4. Welk leveranciersbeleid wil je toepassen? 5. Hoe wil je de sourcingregie inrichten over de keten? 6. Wat is de financiële Business Case? 7. En wat is de Sourcingaanpak?

7 7 Sourcing betaalverkeer <2005

8 8 Sourcing betaalverkeer >2005

9 9 Sourcing management kort onderzoek webshops (1)* 1. Wat zijn de Sourcingdoelstellingen? Klantgerichte en ondernemerscriteria 2. En met welke randvoorwaarden? Vertrouwd voor de klant Snelle afhandeling van betalingen Geen criteria mbt beschikbaarheid of vertrouwelijkheid!!! 3. Wat is de sourcingscope en het voorkeursscenario? 4. Welk leveranciersbeleid wil je toepassen? Een of meerdere banken? Een PSP? *Currence presentatie online betaalcongres

10 10 Sourcing management kort onderzoek webshops (2) 4. Hoe wil je de sourcingregie inrichten over de keten? Afhankelijk van de keuze voor PSP of zelf doen 5. Wat is de financiële Business Case? kosten vs cashflow 6. En wat is de Sourcingaanpak? Beperkt gebruik van informatiebronnen Wat betekent dit voor het risicomanagement in termen van informatiebeveiliging van de webshop?

11 11 Risicomanagement bij online diensten

12 12 Aandachtspunten risicomanagement Ga je voor een serviceprovider of zelf doen? Maak je er een verantwoordelijk of doe je het zelf?

13 13 Aandachtspunten risicomanagement bij zaken doen in the cloud (1) Strategische risico s Strategische aansluiting Financiële risico s Aansprakelijkheid en vrijwaringen Interoperability & Exit strategy Force Majeure and Disaster Planning (RTO/RPO) Compliancy risico s Data Privacy Intellectual Property Ownership Audit Rights

14 14 Aandachtspunten risicomanagement bij zaken doen in the cloud (2) Operationele (IT) risico s Performance / Availability Interoperability & Exit strategy Force Majeure and Disaster Planning (RTO/RPO) Data Security Change Management (CEMLI & PRD environment) Vaak bieden cloud service providers one-size-fits-all terms aan, maar probeer altijd te onderhandelen! En wat ga je dan afspreken?

15 15 Beheeringsmaatregelen Governance mechanismes (1) Contractueel / Financieel (SLA & Contract best practices) Welke definities zijn er voor Eigendom en zeggenschap voor gegevens(bestanden) Vertrouwelijkheid gegevens Wat is de rol van betrokken (hulp)personen Wie heeft toegang tot de gegevens? Recht op onttrekking gehele set aan gegevens (wanneer?) Wat zijn de kosten van onttrekkingen? Welke waarborgen worden gegeven mbt dataportabiliteit zonder functionaliteitsverlies?

16 16 Beheeringsmaatregelen Governance mechanismes (2) Contractueel / Financieel (SLA & Contract best practices) Persoonsgegevens Wat is de kwalificatie partijen onder Wbp? Welke Eigen gebruik eigent de leverancier zich toe? Wat is de locatie van de gegevens? Hoe wordt omgegaan met uitoefening rechten betrokkenen Welke afspraken zijn er rondom Liability & Indemnification? En welke besturing spreek je hier over af?

17 17 Beheeringsmaatregelen Governance mechanismes (3) Operationeel (SLA & DAP best practices) Beschikbaarheid Wat is de meetperiode (maand, kwartaal, jaar) Wat is de begin- en eindtijd van onbeschikbaarheid. Wat zijn de consequenties van onbeschikbaarheid? Wanneer is er gepland onderhoud (en welke invloed heb jij)? Welke externe factoren zijn uitgesloten?

18 18 Beheeringsmaatregelen Governance mechanismes (4) Operationeel (SLA & DAP best practices) Integriteit Welke invloed heb jij zelf, welke wijzigingen kun je doorvoeren? Wat is de roadmap van de provider? Welke checks & balances heeft de leverancier (en wat moet jij doen?)

19 19 Beheeringsmaatregelen Governance mechanismes (5) Operationeel (SLA & DAP best practices) Vertrouwelijkheid Hoe is de Multitenancy & Isolation geregeld? (IAAS/PAAS/SAAS) Welke zonering is toegepast / wat is de locatie van gegevens? Is het een Private of Public oplossing (en op welke laag)? Afspraken over operationele processen zoals incident, change & escalatiemanagement De vraag is echter ook: Hoeveel invloed kun je uitoefenen? Aan welke knoppen kan jij draaien?

20 20 Maar wat moet er dan anders en wie moet doen?

21 21 Wat kunnen wij verwachten van de overheid & bedrijfsleven? (1) Verdere harmonisatie en afstemming internationale wet- en regelgeving Creëren duidelijkheid kwalificatie partijen onder privacyregelgeving Uitsluitsel reikwijdte Telecommunicatiewet (o.a. bewaarplicht verkeersgegevens) Gelijkstelling Internet-gebaseerde dienstverlening met nutsvoorzieningen in insolventiesituaties?

22 22 Wat kunnen wij verwachten van de overheid & bedrijfsleven? (2) Stimuleren van marktcoördinatie (informatie uitwisseling of incidentmanagement) Maar: Grenzen van wet- en regelgeving zijn bereikt bij bestrijden cyber crime* Meer bezuinigingen bij de overheid (bijv. AIVD) *(Onderzoek Vrije Universiteit)

23 23 Wat moet / kan een cloud provider doen? Allianties en samenwerkingsverbanden SP sluiten allianties voor onderzoek of bewustwording markt PayPal CISO hopes FIDO Alliance can help replace weak passwords Online publicatie van Sec., Risk & Compliancy informatie Een voorbeeld: Of real-time event reports uit de SIEM tool? Inzetten Social media

24 24 Wat moet / kan een cloud provider doen? (2) Nieuwe vormen van Service Provider governance De Raad voor Licentiehouders en de Raad voor Certificaathouders bij Currence Echter deze scope is beperkt, geen Sec., Risk & Compliancy Of koop meer governance: Premium contracten Additionele diensten inkopen (back-up, security etc.) Private cloud Maar het blijft gestandaardiseerd. Lineair verband tussen invloed en financiële waarde!

25 25 Maar ook de afnemers hebben een verantwoordelijkheid (1) Duidelijke sourcingsdoelstellingen en keuzes Waarom koos de webshop voor enkel Ideal? Service Provider betrouwbaarheid (credibility) Maak goede afspraken in contracten, SLA s en DAP of; Weet waarvoor je tekent! Ken de Underpinning Contracts (zie voorwaarden Buckaroo)

26 26 Maar ook de afnemers hebben een verantwoordelijkheid (2) Goede financiële afspraken (opschortingsrechten, prijsmodellen, exitassistentie) Tref zelf beveiligingsmaatregelen Secure Cloud Application Architecture: Encryptie (Computable) Neutralisatie van gegevens (WBP) Klassieke maatregelen: Back-up, Escrow etc. (bijv. In het contract) Echter: Meer Internet, meer Liars & Outliars!!!! Wees realistisch over je eigen vertrekpunt!!!

27 27 Recap Wat betekent dit voor de sourcingstrategie (en risicomanagement) van een gemiddelde webshop? Maar zeker ook: Wat betekent dit voor de sourcingstrategie (en risicomanagement) voor online diensten?

28 28 Discussie en afsluiting Cybersecurity is een gezamenlijke verantwoordelijkheid van overheid en bedrijfsleven* Of (Online) winkels accepteren dat technologische vooruitgang nieuwe mogelijkheden maar ook nieuwe risico s met zich meebrengt. Draag de lasten en niet alleen de lusten ** * ** Vrij naar Ulrich Beck, Nassim Taleb ea.

29 29 Dank u voor uw aandacht!

30 30 Online betalingsverkeer in Nederland Sourcingdoelstellingen

31 31 Online betalingsverkeer in Nederland Randvoorwaarden

32 32 Online betalingsverkeer in Nederland Randvoorwaarden

33 33 Online betalingsverkeer in Nederland Leveranciersbeleid en regie

34 34 Online betalingsverkeer in Nederland en de business case

35 35 Online betalingsverkeer in Nederland Sourcingaanpak

36 36 Multitenant & Isolation